✅ Аутентификация: Определение, Методы, Виды – Определение | SendPulse

Kerberos :

Kerberos – это протокол, который помогает в сетевой аутентификации. Это используется для проверки клиентов / серверов в сети, использующей криптографический ключ. Он предназначен для выполнения строгой аутентификации при отправке отчетов приложениям.

Некоторые преимущества Kerberos:

  • Он поддерживает различные операционные системы.
  • Ключ аутентификации распределяется намного эффективнее, чем публичный обмен.

Некоторые недостатки Kerberos:

  • Он используется только для аутентификации клиентов и используемых ими служб.
  • Он показывает уязвимость к мягким или слабым паролям.

Облегченный протокол доступа к каталогам (LDAP):

LDAP относится к облегченному протоколу доступа к каталогам. Это протокол, который используется для определения любых лиц, организаций и других устройств в сети, независимо от того, находятся они в общедоступном или корпоративном Интернете. Он практикуется как каталоги как услуга и является основанием для создания каталога действий Microsoft.

Некоторые преимущества LDAP:

  • Это автоматизированный протокол, который упрощает его модернизацию.
  • Он поддерживает существующие технологии и позволяет использовать несколько каталогов.

Некоторые недостатки LDAP:

  • Требуется опыт развертывания.
  • Серверы каталогов должны быть совместимы с LDAP для развертывания.

SAML :

SAML означает язык разметки утверждения безопасности, который основан на формате данных аутентификации на основе XML, который обеспечивает авторизацию между поставщиком удостоверений и поставщиком услуг. Он является продуктом Технического комитета служб безопасности OASIS.

Некоторые преимущества SAML:

  • Это снизило административные расходы для конечных пользователей.
  • Он обеспечивает единый вход для аутентификации между поставщиками услуг.

Некоторые недостатки SAML:

  • Это зависит от поставщика удостоверений.
  • Все данные хранятся в едином формате XML.

4.9 Аутентификация в Интернет

6.4.9 Аутентификация в Интернет
Семенов Ю.А. (ГНЦ ИТЭФ)

Аутентификационные требования вычислительных систем и сетевых протоколов варьируются в весьма широких пределах. Пароли, которые уязвимы для атак пассивного типа, не могут удовлетворить требованиям современного Интернет [CERT94]. А помимо пассивных атак в сетевой среде сплошь и рядом предпринимаются активные методы [Bellovin89, Bellovin92, Bellovin93, CB94, Stoll90]. Смотри Essential Guide to Identity & Access Management. Так как масштаб сетевых угроз нарастает лавинообразно, приходится разрабатывать все более изощренные алгоритмы аутентификации (идентификации) людей, машин и процессов. Вектор развития этой технологий направлен на многопараметрические методы аутентификации.

Пароли – старейшая технология аутентификации. Она имеет много уязвимостей: кража, перехват, подбор и т.д. Не следует пренебрегать и беспечносттью жертв, которые выбирают простые, легко угадываемые пароли. Кроме того 70% сотрудников используют одни и те же пароли для входа в разные сети и системы. Здесь нужно принимать во внимание тот факт, что в среднем пользователь имеет 40 разных аккаунтов и помнить 40 паролей весьма затруднительно. Именно по этой причине в 4 случаях из 5 пользователи повторно назначают одни и те же пароли для разных аккаунтов. 7% служащих компаний имеют слабые пароли. !0% пользователей используют один из 25 “плохих”, широкоизвестных паролей или пароли, установленные в устройстве или программе по-умолчанию.

В 81% случаев вредоносных вторжений хакеры используют “слабость” паролей или их кражу. (см. “Passwordless Authentication: How Giving Up Your Password Might Make You More Secure“, Thales).

Биометрические

Это самый дорогостоящий метод аутентификации. Он предотвращает утечку или кражу персональной информации. Проверка проходит по физиологическим характеристикам пользователя, например, по отпечатку пальца, сетчатке глаза, тембру голоса и даже ДНК.

В зависимости от количества используемых методов

  • Однофакторная. Используется только один метод.
  • Многофакторная. Используется несколько методов.

В зависимости от политики безопасности систем и уровня доверия

  • Односторонняя. Пользователь доказывает право доступа к ресурсу его владельцу.
  • Взаимная. Проверяется подлинность прав доступа и пользователя и владельца сайта. Для этого используют криптографические способы.

Чтобы защитить владельца сайта от злоумышленников, используют криптографические протоколы аутентификации.

Типы протоколов обусловлены тем, где происходит аутентификация — на PC или в сети.

Зачем нужна аутентификация

Аутентификация нужна для доступа к:

  1. Соцсетям
  2. Электронной почте
  3. Интернет-магазинам
  4. Форумам
  5. Интернет-банкингу
  6. Платежным системам

Комбинированные

Этот метод говорит сам за себя. Аутентификация происходит с использованием нескольких методов, например, парольных и криптографических сертификатов. Он требует специальное устройство для считывания информации.

Парольные

Самый распространенный метод. Аутентификация может проходить по одноразовым и многоразовым паролям. Многоразовый пароль задает пользователь, а система хранит его в базе данных. Он является одинаковым для каждой сессии. К ним относятся PIN-коды, слова, цифры, графические ключи. Одноразовые пароли — разные для каждой сессии. Это может быть SMS с кодом.

Пользовательские данные

Этот метод основывается на геоданных о местоположении пользователя с использованием GPS, а также использует информацию о точках доступа беспроводной связи. Недостаток заключается в том, что с помощью прокси-серверов можно подменить данные.

Протокол ipsec

Главная задача протокола IPSec это реализация безопасности передачи информации по сетям IP. IPSec гарантирует:

  • целостность — при передачи данные не будут искажены, дублированы и потеряны
  • конфиденциальность — предотвращает от несанкционированного просмотра
  • аутентичность отправителя

Доступность — протокол не реализует, это входит в задачу протоколов транспортного уровня TCP. Реализуемая защиты на сетевом уровне делает такую защиту невидимой для приложений. Протокол работает на основе криптографических технологий:

Протокол IPSec имеет следующие компоненты:

  • Компоненты ESP и АН, работают с заголовками и взаимодействуют с базами данных SAD и SPD для обозначения политики безопасности для данного пакета
  • Компонент обмена ключевых данных IKE
  • SPD — база данных политик безопасности
  • SAD — хранит список безопасных ассоциаций SA для исходящей и входящей информации

Ядро протокола IPSec составляет 3 протокола: AH (протокол аутентифицирующего заголовка), ESP (протокол инкапсулирующей защиты) и IKE (протокол согласования параметров управления ключами и виртуального канала). Архитектура стека протоколов IPSec показана на рис.7.

архитектура стека протоколов IPSecРисунок — 7, архитектура стека протоколов IPSec

Протокол АН ответственен только за реализацию аутентификации и целостности информации, в то время как протокол ESP и реализует функции АН и алгоритмы шифрования. Протоколы IKE, AH и ESP работают следующим образом.

С помощью протокола IKE создается логическое соединение между 2 точками, которое имеет название безопасная ассоциация SA. При реализации такого алгоритма, происходит аутентификация конечных точек линии, и выбираются параметры защиты информации.

Нижнй уровень архитектуры основан на домене интерпретации DOI. Протоколы AH и ESP основаны на модульной структуре, разрешая выбор пользователю относительно используемых алгоритмов шифрования и аутентификации. Именно DOI согласует все моменты, и адаптирует IPSec под выбор пользователя.

Формат заголовка пакета AH и ESP показаны на рис.8. Протокол АН защищает весь IP-пакет, кроме полей в Ip-заголовке и поля TTL и типа службы, которые могут модифицироваться при передаче в сети.

Формат заголовков AH и ESPРисунок — 8, формат заголовков AH и ESP

Протокол АН может работать в 2 режимах: транспортном и туннельном. Местоположение заголовка АН зависит от того, какой режим был задействован. В транспортном режиме заголовок исходного IP-пакета становится внешним заголовком, затем уже заголовок АН.

В таком режиме IP-адрес адресата/адресанта читабелен третьим лицам. В туннельном режиме в качестве заголовка внешнего IP-пакета создается новый заголовок. Это видно на рис.9. Также на рис.10 можно увидеть 2 режима работы протокола ESP. Более подробно об этих протоколах реализации протокола IPSec можно прочитать, к примеру в работе Шаньгина В.Ф. — «Защита информации в компьютерных системах и сетях».

режимы применения заголовка АНРисунок — 9, режимы применения заголовка АНрежимы применения ESPРисунок — 10, режимы применения ESP

IPSec разрешает защитить сеть от множества сетевых атак, откидывая чужие пакеты до того, как они дойдут к уровню IP на узле. На узел могут войти те пакеты, которые приходят от аутентифицированных пользователей.

Протокол l2tp и l2f

Протокол L2TP основан на протоколе L2F, который был создан компанией Cisco Systems, как альтернатива протоколу PPTP. L2F — старая версия L2TP. Протокол L2TP был создан как протокол защищенного туннелирования PPP-трафика через сети с произвольной средой.

архитектура протокола L2TPРисунок — 4, архитектура протокола L2TP

L2TP являет собой расширение протокола PPP с возможностью аутентификации удаленных пользователей, реализации защищенного виртуального коннекта и управления потоком информации.

Протокол L2TP использует для передачи данных UDP. На рис.5 видна структура пакета для передачи по туннелю L2TP.

ета для передачи по туннелю L2TLРисунок — 5, структура пакета для передачи по туннелю L2TL

Протокол L2TP использует схемы, где туннель создается между сервером удаленного доступа провайдера и маршрутизатором локальной сети. Также протокол может открывать несколько туннелей, каждый из которых может использоваться для конкретного приложения.

Протокол PPTP не имеет такой возможности. В роли сервера удаленного доступа провайдера должен быть концентратор доступа LAC, который создает клиентскую часть протокола L2TL и реализует удаленному пользователю доступ к локальной сети через интернет. Схема показана на рис.6.

схема туннелирования по протоколу L2TLРисунок — 6, схема туннелирования по протоколу L2TL

Соединение реализуется в 3 этапа:

Протокол L2TP работает поверх любого транспорта с коммуникацией пакетов. Также L2TP не определяет конкретные методы криптозащиты.

Протокол socks

Протокол SOCKS реализует алгоритмы работы клиент/серверных связей на сеансовом уровне через сервер-посредник или прокси-сервер. Изначально этот протокол создавался для перенаправления запросов к серверам от клиентских приложений, и возврата ответа. Такой алгоритм уже разрешает создавать функцию трансляции сетевых IP-адресов NAT.

С помощью этого протокола межсетевые экраны и VPN могут реализовывать безопасное соединение между разными сетями. Также с помощью этого протокола, можно управлять этими системами на основе унифицированной стратегии. Относительно спецификации протокола SOCKS разделяют SOCKS-сервер, который ставят на шлюзы сети, и SOCKS-клиент, который ставят на конечные узлы.

Схема создания соединения по протоколу SOCKS v5 описана следующими шагами:

  • Запрос клиента перехватывает SOCKS-клиент на компьютере
  • После соединения с SOCKS-сервером, SOCKS-клиент отправляет все идентификаторы всех методов аутентификации, которые он может поддержать
  • SOCKS-сервер выбирает один метод. Если сервер не поддерживает ни один метод, соединение разрывается
  • Происходит процесс аутентификации
  • После успешной аутентификации SOCKS-клиент отправляет SOCKS-серверу IP или ВТЫ нужного узла в сети.
  • Далее сервер выступает в роли ретранслятора между узлом сети и клиентом

Схема работы по протоколу SOCKS показана на рис.12. Также SOCKS-серверу можно прописывать правила на контроль доступа к внешней сети шлюза. Подходят все правила, которые работают на обычном межсетевом экране.

схема работы по протоколу SOCKSРисунок — 12, схема работы по протоколу socks

Протокол ssh

SSh — это протокол разрешающий реализовывать удаленное управление ОС и туннелирование ТСР-соединений. Протокол похож на работу Telnet, но в отличии от них, шифрует все, даже пароли. Протокол работает с разными алгоритмами шифрования. SSH-соединение может создаваться разными способами:

  • реализация socks-прокси для приложений, которые не умеют работать с ssh-туннелями
  • VPN-туннели также могут использовать протокол ssh

Обычно протокол работает с 22 портом. Также протокол использует алгоритмы электронно-цифровой подписи для реализации аутентификации. Также протокол подразумевает сжатия данных. Сжатие используется редко и по запросу клиента.

Советы по безопасности реализации SSH:

sshРисунок — 13, ssh

Протоколы ssl и tls

Сразу нужно отметить, что это один и тот же протокол. Сначала был SSL, но его однажды взломали. Его доработали и выпустили TLS. Конфиденциальность реализуется шифрованием данных с реализацией симметричных сессионных ключей. Сессионные ключи также шифруются, только на основе открытых ключей взятых из сертификатов абонентов. Протокол SSL предполагает следующие шали при установки соединения:

  • аутентификация сторон
  • согласование криптоалгоритмов для реализации
  • создание общего секретного мастер-ключа
  • генерация сеансовых ключей на основе мастер-ключа

Процесс аутентификации клиента сервером с помощью протокола SSL виден на рис.11.

Процесс аутентификации клиента сервером с помощью протокола SSLРисунок — 11

К недостаткам TLS и SSL относят то, что они работают только с одним протоколом сетевого уровня — IP.

Протоколы защиты на сеансовом уровне

Сеансовый уровень — самый высокий уровень, на котором можно создать защищенный виртуальных канал.

Ресурсы

  1. В этой статье детально рассмотрены элементы, факторы и способы аутентификации.
  2. В этой статье объясняют, для доступа на какие сервисы нужна аутентификация и рассматривают классификацию её методов.


Обновлено: 31.07.2020

Элементы аутентификации

  1. Субъект — пользователь
  2. Характеристика субъекта — информация, предоставляемая пользователем для проверки подлинности.
  3. Владелец системы аутентификации — владелец ресурса.
  4. Механизм аутентификации — принцип проверки
  5. Механизм авторизации — управление доступом
Похожее:  Микросервисная авторизация для чайников для чайников / Хабр

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *